防火墙--iptables(SNAT和DNAT)

1.iptables服务环境

systemctl stop firewalld  ##关闭firewalld防火墙
yum -y install iptables iptables-services
systemctl start iptables.service  ##启动iptables防火墙
systemctl enable iptables.service

2.iptables配置

配置文件:/etc/sysconfig/iptables
对规则的修改:需要全部刷新策略,丢失连接
防火墙类型:静态防火墙

3.数据包过滤的匹配流程

在这里插入图片描述

4.iptables规则

规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
规则作用:对数据包的过滤或处理
链的分类依据:处理数据包的不同时机

4.1iptables规则表

规则表作用
raw表确定是否对该数据包进行状态追踪
​ mangle表为数据包设置标记
​ nat表修改数据包中的源、目标IP地址或端口
​ filter表确定是否放行该数据包(过滤)
规则表的顺序:raw→mangle→nat→filter

4.2iptables规则链

规则链作用
​ INPUT处理入站数据包
​ OUTPUT处理出站数据包
​ FORWARD处理转发数据包
​ POSTROUTING在进行路由选择后处理数据包 ===>SNAT基于源地址
​ PREROUTING在进行路由选择前处理数据包 ===>DNAT基于目的地址
规则链的顺序:

入站:PREROUTING→INPUT

出战:OUTPUT→POSTROUTING

转发:PREROUTING→FORWARD→POSTROUTING

顺序依次检查,匹配即停止
找不到匹配规则,按默认策略处理

4.3表、链归纳图

在这里插入图片描述

5.iptables基本语法

iptables 【-t 表名】 选项 【链名】 【条件】 【-j 控制类型】

注意事项:
不指定表明时、默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
清空规则时,默认策略不受影响,修改默认策略用-P选项覆盖,且默认策略只有accept和drop,默认策略不参加规则编排
选项:
-A:在指定链末尾添加一条新的规则(–append)
-D:删除指定链中的某一条规则,可指定规则序号或具体内容(–delete)
-I:在指定链中插入一条新的规则,未指定序号时默认作为第一条规则(–insert)
-R:修改、替换指定链中的某一条规则,可指定规则序号或具体内容(–replace)
-L:列出指定链中所有的规则,若未指定链名,则列出表中所有链(–list)
-F:清空指定链中的所有规则,若未指定链名,则清空表中的所有链(–flush)
-P:设置指定链的默认策略(–policy)
-n:使用数字形式显示输出结果,如IP地址而不是主机名(–numeric)
-V:查看时显示详细信息
-h:查看帮助
–Line-numbers:显示行号
控制类型:
ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给提示
LOG:记录日志信息,然后继续向下匹配规则

5.1规则的匹配条件

5.1.1通用匹配

可直接使用,不依赖于其他条件或扩展
​包括网络协议、IP地址、网络接口等条件
协议匹配:: -p 协议名
·常用协议:tcp、udp、icmp、all(所有)

​地址匹配: -s 源地址 -d 目的地址
例:

-s 192.168.20.10  ##源地址 默认子网掩码32位的主机地址
-d 192.168.20.0/24  ##目标地址为 网段地址

接口匹配: -i 入站网口 -o 出站网口(网卡)
例:

iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -i ens33 -p all -j ACCEPT
                                                  -o ens37

5.1.2隐含匹配

​ 要求以特定的协议匹配作为前提
​ 包含端口、TCP标记、ICMP类型等条件
端口匹配:- -sport 源端口、- -dport 目的端口
例:

iptables -A INPUT -s 192.168.20.0/24 -p udp --deport 53 -j ACCEPT
iptables -A OUTPUT -s 192.168.20.0/24 -p udp --sport 53:20:21 -j ACCEPT

ICMP类型匹配:–icmp-type ICMP类型
·ICMP类型:8(request)拒绝、0(reply)丢弃、3(host unreachable)主机不可达
例:

-p icmp --icmp-type 8

5.1.3显式匹配

​要求以"-m 扩展模块"的形式明确指出类型
包含多端口、MAC地址、IP范围、数据包状态等条件
多端口匹配:
-m multiport --sports 源端口列表
-m multiport --dports 目的端口列表
例:

-m multiport --deport 20,21,53,80

IP范围匹配:-m iprange --src-range 源IP范围
-m iprange --dst-range 目标IP范围
例:

-m iprange --src-range 192.168.20.10-192.168.20.20
-m iprange --dst-range 192.168.20.10-192.168.20.20

MAC地址匹配:-m mac --mac-source MAC地址
例:

-m mac --mac-source 00:0c:29:7d:b8:d5

状态匹配:-m state --state 连接状态
·连接状态:NEW:与任何连接无关
ESTABLISHED:相应请求或已建连接
RELATED:与已有连接有相关性的,如FTP数据连接
例:

-m -state --state NEW -p tcp !--syn -j DROP

6. SNAT和DNAT

6.1环境准备

开启路由功能

echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf  ##配置路由功能配置文件
sysctl -p  ##更新路由配置

6.2 SNAT

原理:修改数据包中的源IP地址
作用:局域网主机共享单个公网IP地址接入Internet
配置:nat表中的POSTROUTING链(出战)

主机A想访问互联网上的主机C,首先将请求数据包发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip,然后经互联网发送给C。

6.2.1 SNAT策略配置

iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -o ens37 -j SNAT--to-source 218.29.30.31
##  -s 内网网段
##  -o 防火墙服务器外网网卡
##  -j SNAT策略
##  --to-source 防火墙服务器外网口IP地址

6.3 DNAT

原理:修改数据包中的目标IP地址
作用:将位于企业局域网中的服务器进行发布至互联网
配置:nat表中的PREROUTING链(入站)

互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,C的请求数据包到达防火墙B后,在B上将请求数据包的目标地址进行修改,并将数据包发送给A。

6.3.1 DNAT策略配置

iptables -t nat -A PREROUTING -d 218.29.30.31 -i ens37 -j DNAT--to-destination 192.168.20.10
##  -d 防火墙服务器外网口IP地址
##  -i 防火墙服务器外网网卡
##  -j DNAT策略
##  --to-destination 内网服务器IP地址
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值